Utilizadores da Apple alvo de nova vaga de ataques phishing
A Apple encontra-se a alertar para uma nova vaga de ataques phishing, focados contra os utilizadores de dispositivos da empresa ou com contas Apple. Esta campanha de phishing usa o sistema de reset das senhas como forma de tentar enganar os utilizadores.
De acordo com o portal KrebsOnSecurity, vários utilizadores encontram-se a confirmar serem vítimas de um novo ataque phishing, onde os utilizadores são sobrecarregados com centenas de pedidos de autenticação para permitir a alteração das senhas das suas contas, na esperança que os mesmos aceitem o pedido, eventualmente dando acesso dos atacantes à capacidade de alterar os dados da conta.
Este género de ataque é de relativa simplicidade, onde os atacantes apenas necessitam de enviar pedidos repetidamente para os dispositivos das vítimas, de forma que as mesmas acabem por ficar sobrecarregadas com as notificações e, eventualmente, aceitem a alteração. Caso o façam – seja para tentar terminar as notificações, ou por engano – isso permite que os atacantes alterem a senha da conta da Apple, obtendo assim acesso à mesma e bloqueando os dispositivos associados.
Uma vez que os pedidos de alteração da senha surgem em todos os dispositivos que estejam na conta da Apple, um utilizador com mais do que um dispositivo acaba por receber os pedidos em todos, causando ainda mais incomodo aos mesmos para os levar a aceitar.
Quando as vítimas não aceitam o pedido para alteração da senha, eventualmente os atacantes tentam ligar diretamente para as mesmas, fazendo-se passar pela Apple. No contacto, estas tentam enganar as vítimas, indicando que foi identificado um ataque na sua conta da Apple, e que são necessários alguns passos para garantir a segurança da conta – entre os quais encontra-se alterar a senha através da aceitação do pedido de reset da mesma.
Para realizar este ataque, tudo o que é necessário será o email da conta da Apple da vítima ou o seu número de telefone. O sistema de reset da senha das contas da Apple apenas necessita desta informação, e embora a página para realizar o pedido esteja protegida com um captcha, este pode ser facilmente contornado por sistemas automáticos.